Column


Column Ruud van Oorschot

De Insider Threat als kans

Steeds vaker doemt de term Insider Threat op binnen het vakgebied van informatiebeveiliging. De context bij deze dreiging is echter divers en laat zich niet eenduidig omschrijven. Het bereik van de term gaat van de onbewust onbekwame medewerker met goede intenties tot en met de bewust en bekwame medewerker met slechte intenties. Waarbij de laatste zowel ‘homegrown’ kan zijn (de befaamde ‘disgruntled employee’) als doelbewust geplaatst (infiltratie of spionage).

Alhoewel velen de Insider Threat als bedreiging zien, kunnen er ook kansen in ontdekt worden. Nog steeds geldt namelijk dat teveel organisaties informatiebeveiliging zien als een ICT-feestje terwijl dit pertinent onjuist is. Het is niet wenselijk, niet praktisch en niet realistisch om het als een pure ICT-aangelegenheid te benaderen. Immers, veel producten op het gebied van ICT en informatiebeveiliging zijn by-design behoorlijk veilig, maar de interactie (of het gebrek daaraan…) door mensen zorgt voor risico’s. Wanneer de Insider Threat als uitgangspunt wordt genomen, kan dit helpen om organisaties te motiveren informatiebeveiliging te gaan ontdekken als een organisatie-breed probleem. Of beter gezegd, als oplossing.

 

Mijns inziens is informatiebeveiliging namelijk per definitie een antwoord op een probleem. Niemand beveiligt iets zonder aanleiding. In sommige gevallen ligt de grondslag hiervan in wet- en regelgeving, in andere gevallen uit winstbelang of imagobescherming. Security is voor de meeste organisaties geen doel op zich, maar zou onderdeel moeten zijn van de cultuur in de vorm van normen en waarden. De norm om geen ramen en deuren open te laten staan na het verlaten van een pand, om geen sleutels uit te lenen aan onbevoegde derden, en de alarmcode met niemand te delen worden als normaal beschouwd, maar op het gebied van informatiebeveiliging is hier veelal nog ruimte voor verbetering. Dit is volgens mij de essentie van de Insider Threat, de normen en waarden op het gebied van security zijn bij de meeste organisaties nog lang niet volwassen genoeg. Dit speelt misbruik van de situatie en het onbewust maken van fouten in de hand.

Om security te benaderen vanuit de Insider Threat dienen organisaties zich af te vragen hoe deze te kwalificeren (wanneer is iemand onbewust onbekwaam?), te kwantificeren (hoeveel onbewust onbekwamen hebben we?) en te wegen (hoe erg is dat?). Dit opent de weg naar een meetbare en structurele aanpak om naar een hoger volwassenheidsniveau te groeien. Zeer diverse mitigerende maatregelen (waarvan sommigen al ‘in place’) hebben namelijk ook hun weerslag op de Insider Threat. Bijvoorbeeld: een antiviruspakket beschermt de onbewust onbekwame medewerker die in een phishingmail zou trappen; separation of duties en job rotation kan bescherming bieden tegen een bewust en bekwame medewerker met slechte intenties; en encryptie beschermt tegen datalekken bij verlies of diefstal van een device.

Waar ik voor pleit is de menselijke maat in informatiebeveiliging, door de Insider Threat als uitgangspunt te nemen, en zodoende security meer te plaatsen waar het hoort: binnen de cultuur van de organisatie. Vooralsnog zijn mensen de meest valuable assets binnen de meeste organisaties dus waarom daar ook niet beginnen met beveiligen?

 


Lees meer over